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摘 要 : GIFT 算法 是 一 种 实现 效率 高 、 所 需 功 耗 低 的 轻 量 级 分 组 密码 算法 ， 现 有 评估 其 安全 性 的 研究 成 果 较 少 。、 
利用 Biclique 攻击 方法 ， 结 合算 法 密 钥 调度 方式 以 及 轮 函 数 结构 的 信息 泄露 规律 ， 分 别 给 出 了 对 于 GIFT-64 算法 的 
平衡 Biclique 攻击 和 Star 攻击 结果 。 对 于 GIFT-64 算法 的 平衡 Biclique 攻击 所 需 的 数据 复杂 度 和 计算 复杂 度 分 别 为 
232 和 212736; 对 于 GIFT-64 算法 的 Star 攻击 所 需 的 数据 复杂 度 和 计算 复杂 度 分 别 为 2 和 21027488。 这 是 首 个 对 于 全 轮 
GIFT-64 算法 的 安全 性 分 析 结 果 。 
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Biclique analysis of GIFT-64 
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710054, China) 


Abstract: GIFT is a lightweight block cipher with high efficiency and low power consumption. There are few research 
results to evaluate its security. This paper presented the balanced Biclique and Star attacks on GIFT-64 based on the 
Biclique attack method, combined with the information leakage of the key scheduling and the round function structure of 
GIFT-64. The data complexity and computational complexity required for the balanced Biclique attack of GIFT-64 are 232 
and 212736 respectively. The data complexity and computational complexity required for the Star attack of GIFT-64 are 2 and 
212748 respectively. These are the first security analysis for the full-round GIFT-64. 
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0 ”引言 GIFT-64 算法 的 10 轮 差分 区 分 器 ， 并 基于 此 区 分 器 给 出 了 
16 轮 和 17 轮 GIFT-64 算法 的 差分 分 析 结 果 。 本 文中 利用 
GIFT 算法 是 由 Banik 等 人 吕 于 CHES 2017 上 提出 的 一 种 ”Biclique 分 析 方 法 ， 首 次 评估 了 全 轮 GIFT-64 算法 在 平衡 
SPN 结构 的 轻 量 级 分 组 密码 算法 ， 适 用 于 物 联 网 、 无 线 传 感 。 Biclique 攻击 和 Star 攻击 下 的 安全 性 。 
网 络 等 资源 受 限 的 环境 。 该 算法 基于 PRESENT 算法 中 设计 
1 ”基础 知识 


理念 进行 设计 , 但 与 PRESENT 算法 相 比 , 所 需 的 功 耗 更 低 ， 
C= t+ 至 具有 更 优 的 实现 效率 ,GIFT 算法 的 密 钥 规模 为 128 bit， 1.1 GIFT 算法 简介 
根据 分 组 规模 的 不 同 , 可 分 为 GIFT-64 和 GIFT-128 这 两 种 。 GIFT 算法 采用 SPN 结构 进行 设计 ， 其 设计 理念 与 
Biclique 分 析 方 法 由 Bogdanov 等 人 DB] 于 2011 年 Asiacrypt ”PRESENT 算法 类 似 , 是 由 设计 者 为 纪念 PRESENT 算法 问世 


上 提出 的 一 种 针对 分 组 密码 和 哈 希 函数 的 新 型 攻击 方法 ， 其 周年 推出 了 一 种 新 的 轻 量 级 分 组 密码 算法 。 与 PRESENT 
本 质 是 基于 中 间 相 遇 思 想 ， 利 用 差分 攻击 技术 并 借助 密码 算 。 相 比 ，GIFT 算法 的 S 盒 不 再 受 分 支 数 为 3 的 限制 ， 且 在 算 
法 结构 和 密 钥 调度 的 信息 泄露 规律 实现 密 钥 恢复 的 一 种 攻击 ”法 的 实现 效率 方面 更 优 。 
方法 。 利 用 此 攻击 方法 ， 一 般 能 够 实现 对 于 全 轮 分 组 密码 算 GIFT 算法 根据 分 组 规模 不 同 , 分 为 GIFT-64 和 GIFT-128 


HH 


法 的 安全 性 分 析 。 最 初 被 应 用 于 对 全 轮 AES 算法 外 的 攻击 ， 两 种 ， 加 密 轮 数 分 别 为 28 轮 和 40 轮 ， 所 使 用 的 密 钥 量 均 为 
攻击 复杂 度 低 于 穷 举 攻击 , 后 续 的 , 有 一 系列 运用 Biclique 128 比特 。 本 文中 主要 分 析 GIFT-64 算法 在 Biclique 攻击 下 
攻击 方法 分 析 其 他 分 组 密码 算法 安全 性 的 分 析 结 果 ， 例 如 对 的 安全 性 ,因此 此 处 仅 对 GIFT-64 算法 的 具体 结构 进行 介绍 。 
LBlockI51、PRESENTI、Piccolor.3 等 算法 的 安全 性 分 析 。 GIFT-64 算法 的 一 轮 轮 函数 顺序 执行 如 下 人 的 S 
现 有 的 对 于 GIFT 算法 的 安全 性 分 析 结 果 较 少 ， 而 由 于 ” 盒 变 换 ， 比 特 置换 ， 密 钥 加 变换 。 下 面 详 介绍 这 个 运算 
GIFT 算法 采用 与 PRESENT 算法 类 似 的 算法 构造 , 因此 对 于 ”的 有 具体 过 程 , GIFT-64 算 法 的 轮 函 数 结构 示意 图 如 图 1 所 示 。 
PRESENT I 系列 安全 性 分 析 方 法 对 GIFT 算 法 同样 适 a)S 盒 变 换 。GIFT 算法 的 S 盒 变 换 是 算法 唯一 的 非 线性 
用 。 其 中 ， 设 计 者 在 设计 文档 中 简要 分 析 了 GIFT 算法 在 差 ” 环节 ， 其 由 16 个 相同 的 4-bit 可 逆 $ 盒 并 置 而 成 ， 对 算法 状 
po 线性 分 析 、 不 变 子 空间 攻击 、 代 数 攻 击 等 攻击 方法 态 值 的 每 一 半 子 节 均 进行 作用 ， 达 到 混乱 的 效果 。GIFT-64 


下 的 安全 性 ; 赵 静 远 等 人 外 结合 自动 搜索 技术 ,找到 了 ”算法 所 采用 的 4-bit S 盒 的 具体 结构 如 表 1 所 示 。 


收 稿 日 期 : 2018-11-10; 修 回 日 期 : 2019-01-16 

作者 简介 : 郭 伟 博 〈1980-)， 男 ， 陕 西周 到 人， 讲师， 硕士 ， 主 要 研究 方向 为 网 络 信息 防御 、 算 法 分 析 (sjl1032011026@163.com); 刘 彬 (1984-)， 
男 ， 山 东 寿 光 人 ， 讲 师 ， 硕 士 ， 主 要 研究 方向 为 网 络 信息 防御 ; 王 洋 (1991-)， 男 ， 陕 西西 安 人 ， 助 理工 程 师 ， 硕 士 ， 主 要 研究 方向 为 信息 安全 、 大 数 
据 . 


201904.00033v1 


chinaXiv 


ChinaXiv 合 作 期 刊 


录用 定稿 郭 伟 博 ， 等 : GIFT-64 算法 的 Biclique 分 析 第 37 卷 第 5 期 
| s 
RK [| gg Ex: 
S | S S S | S S S S S | S S S S S S 
[ J 2 J 
S | S S S | S Ss S S S | S | S S S S S 
图 1 GIFT-64 算法 轮 函 数 
Fig. 1 Round function of GIFT-64 
表 1 GIFT-64 算法 的 4-bit $ 盒 表 3 GIFT-64 算法 的 各 轮 轮 常 数 
Table 1 The 4-bit S-box of GIFT-64 Table 3 Round constants of GIFT-64 
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b) 比 特 置换 。GIFT-64 算法 的 置换 层 是 基于 比特 进行 运 
算 ， 实 现 将 第 个 比特 位 置 的 状态 值 置换 为 第 PG) 位 ， 即 
Po =b;, Vie{0,1,...,63} ， 
该 算法 每 一 轮 的 输入 状态 从 右 至 左 依次 为 第 0 至 第 63 
个 比特 ， 表 2 给 出 了 GIFT-64 算法 具体 的 置换 表 。 
表 2 GIFT-64 算法 的 比特 置换 
Table 64 Bitpermuation of GIFT-64 


1-14 01 03 07 OF 1F 3E 3D 3B 37 2F 1E 3C 39 33 
15-28 27 0EF 1D 34 35 2B 16 2C 18 30 21 02 05 0B 


1 0 1 2 3 4 56 7 8 9 1011 12 13 14 15 


RD 0 17 34 5148 1 18 35 32 49 2 19 16 33 50 3 
1 16 17 18 19 20 21 22 36 24 25 26 27 28 29 30 31 
RD 4 21 38 55 52 5 22 39 36 53 6 23 20 37 54 7 
1 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 
RD 8 25 42 59 56 9 26 43 40 57 10 27 24 41 58 11 
1 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 
Rli) 12 29 46 63 60 13 30 47 44 61 14 31 28 45 62 15 


c) 密 钥 加 变换 。 该 步骤 由 轮 密 钥 加 和 轮 常数 加 两 部 分 组 
成 。 对 于 密 钥 加 部 分 ， 通过 密 钥 调 度 算法 生成 32 bits 的 轮 密 
钥 RK ，re{1,2,…,28} ， 将 轮 密 钥 划 分 成 两 部 分 ， 即 

RK* =U|V =ws..u0 || vis...vo ， 

将 乙 和 天 分 别 与 状态 值 好 和 {b&b} 异 或 得 到 

bis byn Bu, by by Dv;, vie{0,...,15} 

对 于 常数 加 部 分 ， 将 单 比特 “1” 和 一 个 6 比特 常数 
C=csc4c3c2zclc0 分 别 与 状态 值 的 第 63,23,19,15,11,7 和 第 3 个 比 
特 进 行 异 或 ， 即 


bss < bes D1, 
by 二 Da 四 CD bo Be,bis bs Bc, 
hihi@Bo,b bh Ba,b bhDoo 
密 钥 调度 算法 ”对 于 GIFT-64 算 法 , 轮 密 钥 RK =U lIV 
从 密 钥 状 态 (wel.…lw) 中 提取 的 两 个 16 比特 字 组 成 ， 且 轮 
密 钥 的 提取 在 密 钥 状态 更 新 之 前 ， 即 
UhV eh 
密 钥 状态 的 更 新 方式 如 下 : 
Eke Oh >>>2| 6 >>>121] 及 外， 
这 里 的 >>j 表示 在 一 个 16 比特 字 中 循环 右 移 j 位 。 
耸 


1.2 Biclique 分 析 方 法 基本 原理 

Biclique 攻击 首先 需要 构造 Biclique 结构 ， 而 Bogdanov 
等 人 在 文献 [3] 给 出 的 对 于 AES 算法 的 平衡 Biclique 攻击 中 ， 
提出 了 两 种 构造 Biclique 结构 的 方法 ， 分 别 为 Independent 
Biclique 结构 和 Long Biclique 结构 。 由 于 Independent Biclique 
结构 的 构造 更 为 简易 ， 且 攻击 轮 数 更 长 ， 所 以 后 续 的 研究 结 
果 中 一 般 采 用 此 结构 对 密码 算法 进行 Biclique 分 析 ， 本 文中 
同样 如 此 。 而 在 进行 具体 攻击 时 ， 根 据 构造 所 得 结构 维 数 不 
司 , 还 可 分 为 平衡 Biclique 攻击 、 非 平衡 Biclique 攻击 和 Star 
攻击 。 下 面 介绍 Biclique 结构 和 Biclique 攻击 具体 步 又。 

1)Biclique 结构 

一 般 来 讲 ， 一 个 Biclique 结构 就 是 一 个 二 分 图 ， 通 常用 
三 元 组 的 形式 进行 表示 。 令 r 轮子 算法 f 在 密 钥 KE 让 作用 下 
将 密 文 状态 C 中 的 22 个 元 素 C: 映射 到 中 间 状 态 8 中 的 22 个 


元 素 $i，, 也 就 是 Si 人 >C' ，Visf01L .24 Vi e{0,1,...,2%71} 。 


il 


将 这 样 的 三 元 组 (4C,{5),K[i, 四 记 为 (41,4;) 维 Biclique 结构 。 
若 d=d,=4dz0, 则 称 为 平衡 Biclique 结构 , 若 d=0,4,=4d'z0， 
则 称 为 Star 结构 ， di#4d, 且 均 不 为 0 时 为 非 平 衡 Biclique 结 
构 。 图 2 表示 一 般 的 密 文 方向 的 Biclique 结构 ， 相 应 的 ， 根 
据 算法 实际 ， 还 可 以 构造 明文 方向 的 Biclique 结构 用 于 实施 
攻击 。 


S9 
a 
Ca 
人 
S21 


图 2 Biclique 结构 
Fig.2 Biclique structure 
2)Biclique 攻击 流程 
将 一 个 分 组 密码 Ex 看 做 多 个 子 算法 的 结合 , 即使 得 由 密 


常数 定义 为 (Cs,C4,C3,C2,C1,C0) ， 上 县 通过 一 个 LFSR 作 | 进 
行 状态 值 更 新 ， 初 始 值 置 0， 采 用 如 下 函数 进行 状态 更 新 ; 


(cc CC C1 C0) (C4,C3,C2,C1,C0,Cs DBC BD 


表 3 给 出 了 GIFT-64 算法 中 各 轮 使 用 的 轮 常数 。 关 于 算 
法 更 多 的 设计 细节 详 见 文献 [1]。 


文 状态 C 映射 到 明文 状态 P 有 如 下 表示 : 

P<2 Vi Si CC 
其 中 f 表示 构造 Biclique 结构 的 子 算法 ，el 和 e? 分 别 表 示 匹 
配 阶 段 的 子 算法 ,VV 表示 匹配 向 量 ， 进 而 可 将 Biclique 攻击 
分 为 以 下 四 步 : 密 钥 划分 ; 构造 Biclique 结构 ， 状 态 匹 配 ; 
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攻击 所 需 的 复杂 度 主 要 包括 数据 复杂 度 和 计算 复杂 度 。 


其 中 ， 数 据 复杂 度 由 进行 Biclique 结构 构造 时 所 需 的 选择 明 


( 密 ) 文 数量 决定 , 计算 复杂 度 主 要 三 部 分 组 成 , 即 Biclique 
结构 构造 、 状 态 匹 配 以 及 密 钥 筛 选 所 需 的 计算 复杂 度 。 由 于 


GIFT-64 算法 的 非 线性 部 件 8 盒 占 
他 环节 ， 因 此 在 本 文中 进行 计算 复杂 度 估 计时 ， 近 似 的 以 所 
需 计 算 的 S 盒 个 数 来 估计 攻击 所 需 的 计算 复杂 度 。 且 为 了 进 


一 步 降低 攻击 所 需 的 计算 复杂 度 ， 


程 中 ， 攻 击 者 通过 检验 前 向 和 后 向 匹配 过 程 得 到 的 匹配 向 量 
值 是 否 一 致 ， 筛 选 错 误 密 钥 ， 此 时 ， 还 可 以 利用 预计 算 匹 配 


j 的 计算 资源 明显 多 于 其 


在 上 述 介绍 的 状态 匹配 过 


这 里 的 KE 刀 由 K[0,0] 与 密 钥 差 分 A 和 VI; 组成， 其 中 


Af =(k,[0,12], ks[0,4]) , V5 = (ka[0,1], ks[0,1) 。 
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b) 构 造 平衡 Biclique 结构 。 基 于 上 述 划 分 的 密 钥 空间 ， 


通过 相应 的 轮 密 钥 构 造 对 应 的 相关 密 钥 差分 特征 A; 和 Vj, 经 


分 析 可 得 ，(A;,V)) 中 无 重合 的 S 盒 ， 即 两 者 相互 独立 ， 也 就 
是 说 构造 得 到 了 一 个 5 轮 (4,4) 平 衡 Biclique 结构 


(PS ,KE 六。 图 3 给 出 了 具体 结构 。 


c) 状 态 匹配 。 根 据 构造 得 到 的 5 轮 (4,4) 平 衡 Biclique 结 


构 ， 得 到 2 个 明文 状态 P ， 通 过 正确 密 钥 解 密 得 到 对 应 的 2 


技术 I 降低 匹配 阶段 的 计算 复杂 度 。 
2 GIFT-64 算法 的 平衡 Biclique 分 析 


过 合适 的 密 钥 划分 ， 构 造 得 到 了 一 个 明文 方向 的 5 轮 (4,4) 平 


和 首先， 本文 利用 文献 [3] 中 构造 Biclique 结构 的 方法 ， 通 


个 密 文 状态 C  ， 选 择 第 17 轮 的 第 44-47 个 输出 比特 为 匹配 
向 量 。 由 Ci 向 上 解密 11 轮 ， 称 为 后 向 匹配 阶段 ， 8 向 下 加 


密 12 轮 ， 称 为 前 向 匹配 阶段 , 图 4 给 出 了 


平衡 Biclique 攻击 


的 状态 匹配 过 程 ， 由 图 可 得 ， 在 前 向 匹配 阶段 只 需 对 图 中 32 


苦 [ 


个 S 盒 


了 预计 算 ，12 个 S 盒 进 行 2 次 重 计算 ，4 个 S 盒 进 


行 2 次 重 计算 ,148 个 S 盒 进行 2 重 计算 ;在 后 向 匹配 阶段 ， 


衡 Biclique 结构 。 进 一 步 地 ， 给 出 了 全 轮 GIFT-64 算法 的 安 


全 性 分 析 结 果 。 


a) 密 钥 划分 。 根 据 密 钥 调 度 算法 ， 选 取 
已 [0.12], 且 [0,4, 和 [0.,A[0. 为 活动 比特 位 。 令 KI0,0] 为 上 述 8 比 


特 位 置 密 钥 为 0， 其 余 位 置 遍 历 芯 


主 密 钥 。 将 128 比特 主 密 


钥 划分 为 2” 个 集合 ， 每 一 密 钥 集 合 中 包含 2 个 密 钥 KE 让。 


RK 


RK? 


RK” 


RK” 


图 3 5 轮 (4,4) 可 


只 需 对 图 中 36 个 S 盒 进行 预计 算 ,4 个 S 盒 


进行 2 次 重 计算 ， 


8 个 $S 盒 进行 2 次 重 计算 ，101 个 $ 盒 进 行 2 重 计算 ， 即 可 
完成 匹配 。 图 4 中 白色 表示 不 需 计 算 的 S 盒 ， 淡 灰色 表示 需 


预计 算 的 S 盒 ， 灰 色 表 示 需 重 计算 的 S 盒 
综 上 ， 对 于 GIFT-64 算法 的 (4,4) 平 衡 


o 


Biclique 攻击 所 需 


的 数据 复杂 度 为 2? 个 选择 明文 ， 计 算 复 杂 度 为 2”* 次 全 轮 


GIFT-64 加 密 。 证 毕 。 


d) 密 钥 筛 选 。 由 于 使 用 的 匹配 向 量 为 第 44~47 bit 共 2 个 
可 能 值 ， 即 得 平均 一 个 错误 密 钥 通过 筛选 的 概率 为 2 。 又 根 


据 每 个 密 钥 集 合 中 含有 2 个 密 钥 ， 


所 以 每 个 密 钥 集 合 平均 有 


2x24=2: 个 密 钥 通过 筛选 ， 即 得 到 了 2 个 候选 密 钥 。 最 后 ， 
对 每 个 集合 中 剩余 的 2 个 候选 密 钥 进行 全 轮 加 密 ， 检 验 得 到 
初始 的 正确 密 钥 。 上 述 GIFT-64 算法 平衡 Biclique 攻击 所 需 


的 复杂 度 指标 由 定理 1 给 出 。 


证 明 攻击 所 需 数 据 复 杂 度 3 


定理 1 采用 5 轮 (4,4) 平 衡 Biclique 结构 对 GIFT-64 算 
法 进行 安全 性 分 析 ， 可 恢复 全 轮 GIFT-64 算法 的 主 密 钥 ， 攻 
击 所 需 的 数据 复杂 度 为 2* ， 计 算 复杂 度 为 27*。 


要 为 构造 平衡 Biclique 结 


F 衡 Biclique 结构 
Fig.3 5S-round (4,4) Balanced Biclique structure 


构 所 需 的 选择 明文 量 ， 根 据 图 3 可 得 ， 对 


于 每 一 个 Biclique 


结构 ， 需 遍历 明文 的 第 0-31 个 比特 ， 第 32-63 个 比特 固定 ， 


即 得 数据 复杂 度 为 2? 个 选择 明文 。 


攻击 所 需 的 计算 复杂 度 主 要 包含 三 部 分 。 一 是 构造 


Biclique 结构 ， 由 图 3 可 得 ， 构 造 过 程 需 对 


计算 ，12 个 S 盒 进行 22 次 重 计算 ，4 个 8 


得 ， 前 向 匹配 阶段 预计 算 32 个 S 盒 , 对 1 


即 结构 构造 过 程 中 共 需 计算 176 个 S 盒 。 二 是 状态 匹配 ， 了 
要 包含 前 向 匹配 和 后 向 匹配 两 个 阶段 。 根 据 上 述 攻 击 过 程 可 


| 64 个 S 盒 进 行 预 
盒 进行 2 重 计算 


NT ~ 


2 个 S 盒 进行 2 次 


重 计算 ，4 个 S 盒 进行 2 次 重 计算 ，148 个 S 盒 进行 2 重 计 


算 ， 即 需 计 算 24x(G32+2xl2+22x4+24xl48)=39040 个 S 盒 ; 后 
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向 匹配 需要 预计 算 36 个 S 盒 ,对 4 个 $S 盒 进行 2 次 重 计算 ， 


8 个 S 盒 进行 2 次 


EE 计算 ，101 个 S 盒 进 


计算 24x(36+2x4+22x8+24xl0D=27072 个 S 盒 。 
配 阶段 所 需 计算 的 S 盒 个 数 总 计 为 : 39040+27072=66112 。 三 
由 每 一 密 钥 子 集合 剩余 24 候选 密 铀 ， 则 


是 密 钥 筛选 ， 


2 这 
| 
LTCLITTIT IIT 
se i 
TY [TY 


GIFT-64 算法 的 安全 性 ,在 本 节 趾 
对 于 全 轮 GIFT-64 最 低 数 据 复杂 度 的 莉 
Bogdanov 等 人 [1 


Tl 


先是 由 


Ss 


= 二 名 


EP 


行 2 重 计算 ， 


图 4 GIFT-64 算法 了 


也 就 是 说 ， 匹 


即 需 


FE 衡 Biclique 攻 卫 


C 


_ 4 
flase =2 。 


C=2% x( 


RK Tf¢ 


RK™ 站 


RK™ [ 194 


RK™ 


RK™ 


RK™||¢4 


176+66112 


28x16 BE 
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因此 上 述 攻击 所 需 的 计算 复杂 度 总 计 为 


+29)<225 次 全 轮 GIFT-64 加 密 。 


和 的 状态 匹配 过 程 


Fig.4 Matching phase ofbalanced Biclique attack on GIFT-64 


3 ”GIFT-64 算法 的 Star 攻击 


上 一 章 中 主要 运用 平衡 Biclique 攻击 方法 分 析 了 


] 于 


Biclique 攻击 方法 ,最 早 应 用 于 分 让 
击 方法 的 攻击 过 程 与 平衡 Biclique 攻 


PF 主要 考虑 运用 Star 攻击 
二 结果 。Star 攻击 最 
2014 年 提出 的 一 种 非 

ff AES 算法 的 安全 性 。 


数据 复杂 度 很 少 ,一 般 为 2~3 个 已 知 明文 ,相应 的 计算 复 


就 有 所 增加 ,下 面 给 出 针对 GIFT-64 算 法 Star 攻 击 的 
基于 密 钥 调度 算法 ， 


引 密 钥 划 分 。 


\ 体 


该 攻 


fF 过 程 基 本 一 致 ,但 所 需 


杂 度 


步骤 。 
选 取 


[0,1,8,11],k[0,1,8,1 为 活动 比特 位 。 令 K[0,0] 为 上 述 8 比特 位 
置 密 钥 为 0， 其 余 位 置 遍 历 的 主 密 钥 。 将 
分 为 22 个 集合 ， 每 一 密 钥 集合 中 包含 2 个 密 钥 K[i, 媳 。 这 里 


的 KE 让 由 


A =(k[0,1],k[0,1]) ， 


KI0.0] 与 密 钥 差分 A 和 V) 
V5 = (ks[8,11], ks[8,11]) 。 


128 比特 主 密 


b) 构 造 Star 结构 。 基 于 上 述 划 分 的 密 钥 空 间 ， 通 过 


的 轮 


Biclique 结构 一 


本 
YY., 


了 具体 结构 。 


一 节 的 攻击 过 程 类 似 , 选 


密 钥 构造 对 应 的 相关 密 钥 差 分 特 和 
样 ，(Ai,V)) 中 无 重合 的 S 盒 ， 
岂 就 是 说 构造 得 到 了 一 个 4 轮 8 维 Star 结构 。 图 5 多 


匹配 向 量 。 在 前 向 匹配 阶段 只 需 对 8 个 S 盒 进行 预 


个 S 盒 进行 2 重 计算 ，164 个 S 盒 进行 六 
配 阶段 , 只 需 34 个 S 盒 进行 预计 算 ,， 4 个 S 盒 进行 2 次 
算 ，2 个 S 盒 进行 2 次 重 计算 ，8 个 S 盒 进行 2 重 计算 ， 


个 S 盒 进行 3 重 计算 ， 即 可 完成 四 配 。 图 
( 体 路 径 ， 图 中 所 | 


阶段 的 


即 两 者 相 


c) 状 态 匹 配 。 根 据 构 造 得 到 的 4 轮 8 维 Star 结构 ， 与 上 
择 第 16 轮 的 第 44-47 个 输出 比 
计算 ，8 


重 计算 ; 在 后 


钥 划 


日 成 ， 其 中 


相应 


EA; 和 Y ， 与 平衡 


互 独 


人 
给 出 


特 为 


向 匹 


重 计 
117 


6 给 出 了 状态 


的 颜 


色 标 志 与 图 4 相同 。 


匹配 


d) 密 钥 筛 选 。 由 于 
44-47 个 比特 共 2 个 可 
选 的 概率 为 2* 。 又 根据 每 个 密 钥 集合 中 含有 2: 个 密 钥 ， 所 


l 


使 用 的 匹配 向 量 为 16 轮 输出 状态 的 第 
能 值 ， 即 得 平均 一 个 错误 密 钥 通过 得 


以 每 个 密 钥 集 只 
24 个 候选 密 


均 有 23x24=2: 个 密 钥 通过 筛选 , 即 得 到 了 
钥 。 最后， 对 每 个 集合 中 剩余 的 2 个 候选 密 钥 进 


行 全 轮 加 密 


， 验 证 得 到 正确 密 钥 。 上 述 GIFT-64 算法 Star 攻 


定理 2 


击 所 需 的 复杂 度 指标 由 定型 


82 给 出 。 


采用 4 轮 8 维 Star 结构 对 GIFT-64 算法 进行 安 


全 性 分 析 ， 可 恢复 全 轮 GIFT-64 算法 的 主 密 钥 ， 攻 击 所 需 的 


数据 复杂 度 为 2， 计 算 复 杂 度 为 22%。 


证 明 


计 营 :4 本 


算 76 个 S 盒 。 


攻击 所 需 的 计算 复杂 度 同 样 包含 三 部 分 。 一 是 构 


造 Star 结构 ， 图 


5 可 得 ， 构 造 过 程 需 对 60 个 S 盒 进 行 预 
S 盒 进行 于 次 重 计算 ， 即 结构 构造 过 程 中 共 需 计 
二 是 状态 匹配 ， 主 要 包含 前 向 匹配 和 后 向 匹 


配 两 个 阶段 。 根 据 上 述 攻 击 过 程 可 得 ， 在 前 向 匹配 阶段 只 需 
对 8 个 S 盒 进行 预 计算 ，8 个 $ 盒 进行 2 重 计算 ，164 个 S 


盒 进 行 2 重 计算 , 即 需 计算 42120 个 S 盒 ;在 后 向 


匹配 阶段 ， 


只 需 34 个 S 盒 进行 预计 算 ，4 个 S 盒 进行 2 次 重 计算 ，2 个 
S 盒 进行 2 次 重 计算 ，8 个 S 盒 进行 2 重 计算 ，117 个 S 盒 


进行 2 重 计算 。 即 需 计 算 30130 个 S$ 盒 。 也 就 是 说 ， 匹 配 阶 
段 所 需 计 算 的 S 盒 个 数 总 计 为 : 42120+30130=72250 。 三 是 密 


钥 筛 选 ， 


每 一 密 钥 子 集合 剩余 > 候选 密 铀 ， 则 cn = 2 。 


寻 此 上 述 芭 击 所 需 的 计算 复杂 度 总 计 为 


C=2m x +290=2o 次 全 轮 GIFT-64 加 密 。 数 据 复杂 
度 方面 ， 使 用 2 个 明 密 文 对 ， 使 得 攻击 成 功率 为 1。 


综 上 ， 对 于 GIFT-64 算法 的 Star 攻击 所 需 的 数据 复杂 度 
为 2 个 选择 明文 ， 计 算 复杂 度 为 2”* 次 全 轮 GIFT-64 加 密 。 


证 毕 。 
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图 5 GIFT-64 算法 4 轮 8 维 Star 结构 


Fig.4 Rounds of 8-dimensional Star structure of GIFT-64 


结束 语 
本 文 利用 Biclique 攻击 方法 分 析 了 GIFT-64 算法 在 平衡 


Biclique 攻击 和 Star 攻击 下 的 安全 性 ， 结 合 GIFT-64 算法 线 


性 密 钥 调度 算法 的 信息 泄露 规律 ， 分 别 给 出 了 首 个 对 于 全 轮 


GIFT-64 算法 最 优 计算 复杂 度 和 最 低 数据 复杂 度 的 安全 性 分 
析 结 果 。 下 一 步 工 作 主要 考虑 利用 Biclique 攻击 方法 实现 对 


于 GIFT-128 算法 的 安全 性 分 析 , 扩充 GIFT 系列 算法 的 安全 
性 分 析 结 果 。 
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